我的位置 态势感知  >  漏洞态势

打击勒索软件攻击的新思路--传统劫持人质事件处置方法演变的启示

来源:网空闲话 时间:2021-09-18 阅读次数:

​【编者按】勒索软件的威胁越来越大,政策制定者和美国企业界都在为如何应对这一威胁而绞尽脑汁。然而,勒索赎金本身不是什么新鲜事,事实上,美国在这一问题上有着长期痛苦的困扰历史。美国空军学院的丹妮尔·吉尔伯特(Danielle Gilbert)在研究勒索软件时受到启发,借鉴劫持人质的处置历史,以确定处理勒索软件问题的方法。

“等等,是只有我这么想,还是过去每两个月就会有一次大规模勒索软件攻击?”在最近一期的《上周今夜秀》(Last Week Tonight)节目中,主持人约翰·奥利弗(John Oliver)直面了勒索软件事件的明显激增。这些攻击已经出现了20年,包括用恶意软件感染智能手机或电脑等数字设备,并对数据进行加密和/或施加威胁,直到支付赎金。但随着行凶者瞄准了关键的基础设施,并大幅增加了他们的要求,他们最近已经达到了狂热的程度。仅在今年,勒索软件袭击就破坏了美国最大的石油管道和肉类加工厂,该加工厂生产了美国五分之一的牛肉;一个勒索软件团伙实施了有记录以来规模最大的攻击,要求在17个国家花费7000万美元来解密设备。针对医院系统和地方政府的攻击具有破坏性,但这种攻击很常见。软件公司Emsisoft报告称,2020年,美国有2354个地方政府、医疗机构和学校受到勒索软件的攻击——这个数字几乎可以肯定被严重低估了。

勒索软件可能是新的,但劫持人质不是。几十年来(如果不是几百年的话),美国一直面临着人质问题。从巴巴里海盗到鲍·贝里达尔,人质危机吸引了媒体的极大关注,并从根本上改变了美国的政策。在上世纪70年代的大使馆事件和劫机浪潮之后很久,劫持人质的暴力事件仍然是国际安全领域的一个棘手问题。据美国联邦调查局(FBI)跨部门的人质恢复融合小组(Hostage Recovery Fusion Cell)前负责人说,“美国公民在国外被绑架的事件每周都有发生。”

过去半个世纪的劫持人质事件为理解和应对勒索软件攻击提供了宝贵的经验。这两种胁迫形式之间的相似之处,可以告诉我们很多关于其中的动态变化。美国人质解救政策的成功和失败可以帮助评估针对这一新威胁的政策选择。

 伤害的力量

劫持人质和勒索软件都是胁迫策略,利用囚禁来要求让步。虽然不是严格意义上的劫持人质——没有人被劫持——勒索软件强调了托马斯·谢林所说的“伤害的力量”。它要求目标为了防止未来的痛苦而做出让步。

劫持人质和勒索软件攻击都创造了一种双边垄断:一个只有一个卖家(犯罪者)和一个买家(目标)的虚假市场。因此,犯罪者可以利用其固有的价格敏感性,提出过高的要求,并期望得到满足,将赎金提高到数千万美元。没错,这些攻击有助于赚钱,但也会凸显系统中的漏洞或令对手难堪。像美国女继承人帕蒂·赫斯特和哥伦比亚总统候选人英格丽德·贝当古这样的著名人质吸引了人们对绑架他们的人的注意,并挑战了国家对暴力的垄断。

这些著名的案件表明,劫持者是为了获得公众的关注——很多人确实是这样做的。但绝大多数劫持人质和勒索软件攻击都是秘密发生的。目标可能希望避免因看起来不安全而造成的声誉损失。他们也可能避免公开,这样他们就可以做出让步而不用担心遭到报复。一些臭名昭著的绑架热点地区已经实施了法律约束机制,以阻止目标支付赎金,希望从总体上抑制劫持人质的积极性,并减少其发生的频率。例如,在哥伦比亚和意大利,当家庭向执法部门报告绑架事件时,反绑架立法将冻结其资产。这样的政策削弱了报道的积极性。

此外,国家和非国家行为者都可以劫持人质或使用勒索软件。虽然绑架传统上是犯罪和政治武装组织的职权范围,但包括中国、朝鲜、土耳其和伊朗在内的国家都开展了人质外交——在法律的幌子下劫持外国人作为筹码。一些州通过为囚禁者提供安全的避难所来宽恕人质劫持。这些国家保护是勒索软件攻击的主要驱动力,因为俄罗斯保护(或许雇佣)黑客在海外犯下这些罪行。

在所有这些方面,勒索软件类似于过去的劫持人质暴力。近年来,为了盈利而恶意控制数据的行为已经危及到人类的生命。对关键基础设施的攻击突显了数字攻击在现实世界中的表现;对医院系统的攻击可能致命。随着勒索软件越来越接近将人作为人质,其创新使其更难防范。

 勒索软件的不同之处

勒索软件是由新技术推动的一系列劫持人质范式转变中的最新一例。例如,20世纪中期商业航空旅行的增长助长了20世纪60年代和70年代的飞机劫持浪潮。21世纪初,智能手机和便携式互联网技术的兴起,推动了劫持人质从公众转向秘密行动。能够在相对安全的位置制作和传播引人注目的暴力人质视频,意味着行凶者不再需要通过谈判找到出路,或在死亡中挣扎。

两项新的技术变化使得勒索软件对犯罪者特别有吸引力,而对目标却没有相应的好处。

首先,加密货币使支付赎金变得安全和容易。在加密货币出现之前,绑匪通过“投递”(目标在绑匪选择的时间和地点交付商定的金额)来收取赎金。这一下降对绑架者来说是危险的,因为它可能为执法部门追踪或抓获罪犯提供机会。传统的电汇也被证明是有风险的,因为这样的交易很容易被追踪。但用加密货币支付赎金,通过消除支付的物理和信息风险,解决了犯罪者的两个问题。加密货币的数字化、不受监管和很大程度上匿名的性质,使它们对犯罪者非常有用。

第二,“恶意软件即服务”使得每一次劫持人质都不需要技术娴熟的专业团队。从阿富汗到安娜堡,劫持者很少单独行动。劫持人质阴谋中最一致的元素之一是10-15名罪犯小组的角色分工,不同的角色负责收集目标的情报、实施绑架、保护组织和谈判人质的释放。随着现成的勒索软件和恶意软件服务被广泛购买,这种动态发生了戏剧性的变化。换句话说,几乎任何人都可以进行勒索软件攻击,无论他们是否拥有相关技能和知识。恶意软件即服务的泛滥使得人们在使用它们之前不需要学习特殊技能,这就招致了“独狼”来造成巨大的破坏。

 美国人质政策的教训

在过去的50年里,遏制劫持人质的努力采取了不同的方法,效果各不相同。随着白宫成立了一个新的勒索软件特别工作组,并向企业和社区发布资源,有关惩罚的熟悉辩论又重新浮出水面。过去阻止劫持人质的努力可以为未来的勒索软件之战提供宝贵的教训。

第一种方法是采取一切可能的措施,从一开始就防止勒索软件。无数的文章都提供了同样简单明了的勒索软件预防措施列表:划分网络、维护备份、安装安全更新、安全密码、实施多因素身份验证,并对团队进行网络安全措施培训。这个建议是一致的和多产的,但采用率很低。

不幸的是,历史表明,预防措施是很难实现的,只有在回顾的时候才显得明显。在20世纪60年代和70年代,每5天半就有一架飞机被劫持。然而,商业航空公司不愿对乘客实施新的安全和检查措施,担心不便会影响业务。在这种情况下,劫机事件持续不断,直到20世纪80年代航空公司开始对行李进行x光检查。机场安检并不好玩,但它在很大程度上使劫机事件成为了过去。

第二种方法是执法人员和安全人员所说的“拒绝福利”——旨在阻止犯罪者享受其劳动成果的政策和策略。这可能意味着,例如,确保劫持者收到用伪造货币支付的赎金,或在劫持者消费之前收回资金。

“不让步”政策也是为了拒绝向劫持者提供福利。这些政策假设行凶者知道哪些目标不会付钱,并在未来停止攻击他们。现有的研究表明,这确实是昨天支付赎金的目标比那些拒绝赎金的目标更有可能在明天被绑架。这就是呼吁将向网络罪犯支付赎金定为非法的背后逻辑,包括在这个网站上发表的有见地和创造性的选择。(例如,支付赎金可以免税,这似乎特别令人震惊。)

然而,考虑到他们的过往记录,这些政策既不明智,也不太可能孤立地遏制勒索软件攻击,原因有三个。

首先,将勒索软件付款定为非法将意味着美国目前的赎金政策发生巨大变化。尽管众所周知美国奉行“不让步”政策,但现行法律只禁止向美国指定的外国恐怖组织(FTO)支付赎金。在撰写本文时,美国政府、企业或公民个人向任何其他人质劫持者支付赎金都是完全合法的——无论是外国的还是国内的罪犯、非fto武装组织,甚至是国家。我们依靠这些款项将数百名在国外被绑架的美国人带回家。只有在虚拟的情况下才将赎金定为非法,这与美国现行法律不一致,可能会迫使美国几十年来的政策进行清算。

其次,完全禁止支付不太可能奏效,因为当他们所爱的人的生命(或他们的数据)受到威胁时,个人目标总是有欺骗的动机。在国家层面,这也可能产生有害影响。正如我在其他地方写的:

2007年,八国集团领导人同意“杜绝”向恐怖组织支付赎金。然而,在随后的十年里,一些八国集团领导人向基地组织和伊斯兰国提供了数亿美元的赎金。当一个罪犯挟持来自政策不同的国家的人质时,这尤其具有破坏性。例如,伊斯兰国的法国、德国、意大利和西班牙人质被释放,美国和英国人质被残忍杀害。这种不理想的法律制度拼凑,其中一些国家“采取强硬立场,另一些国家愿意对话”,表明了协调威慑的紧迫性。

第三,惩罚目标(而不是犯罪者)可能导致巨大的政治反弹。在美国,通过执行物质支持法规第2339(B)条,向FTO支付赎金是非法的:支付恐怖分子的赎金包括对恐怖组织的物质支持。实际上,这意味着告诉家人,拯救他们所爱的人就等于资助未来的恐怖主义。2014年,被伊斯兰国俘虏的詹姆斯·弗利(James Foley)、史蒂文·索特洛夫(Steven Sotloff)、彼得·卡西格(Peter Kassig)和凯拉·穆勒(Kayla Mueller)的父母请求白宫营救他们被囚禁的孩子,这一事件达到了顶点。幸存下来的弗利夫妇告诉ABC新闻,他们曾多次受到白宫国家安全委员会(National Security Council)一名军官和一名国务院官员的威胁:付钱,你就会被当作罪犯起诉。

将这种动态转化为勒索软件,很容易想象威胁或惩罚同情的犯罪受害者会引发严重的政治反弹。随着目标从科技公司转移到关键基础设施,生命将岌岌可危。在让受害者承担停止这些袭击的责任之前,政策制定者应该三思而后行。

相反,反勒索软件政策应该把重点放在惩罚犯罪者上。一些现有的人质回收政策通过专门的单位直接打击罪犯,目的是破坏劫持人质的袭击。在美国,这看起来像是联邦调查局的人质救援队和两个军事特种部队——陆军的三角洲部队和海军的海豹突击队——他们无情地训练以扰乱世界各地的人质危机。在哥伦比亚,警察和军队的专门部门都专门负责劫持人质;他们被认为是过去20年哥伦比亚绑架事件大幅减少的原因。

最近的消息表明,即将到来的打击行动已经对罪犯产生了影响,但还需要做更多的工作。白宫已经推进了一些加强网络安全的举措,包括一个勒索软件工作组、一个强调预防资源的网站,以及“正义奖励”(Rewards for Justice)计划。但如果不对FBI的调查和干预能力进行认真投资,犯罪者将继续攻击我们当中最不安全的地方。

在缺乏明确和一致的政策的情况下,对劫持人质的反应突出了制定减轻伤害技术的重要性。一个强大的人质应对行业——包括绑架和赎金保险代理人和私人人质谈判人员——带来了技能、经验和准则,以规范市场。他们的作用主要集中在承担绑架目标的成本,减轻伤害,促进人质的恢复,同时使袭击花费更多的时间,降低行凶者的利润。

缓解伤害的两种方法似乎是有希望的。

首先,专业的人质谈判专家建议目标永远不要支付最初的赎金要求,而是反击并谈判一个更低的价格。劫持者通常要求的钱比他们预期的要多;当目标立即付款时,施暴者会认为他们要求的还不够。至少,提出一个可信的还价可能会抑制勒索软件需求的指数级增长。

其次,在现实世界中劫持人质代价高昂:罪犯必须有足够的资源在囚禁期间为他们的囚犯提供食物、衣服和藏身,同时保护他们的组织免受反叛乱或警察的迫害。在数字领域运营(并且有俄罗斯的安全港),这样的成本不太可能转化。但拖延战术可能会为执法部门提供更大的干预机会,或让目标找到替代方案来恢复他们的数据。时间或其他因素增加犯罪者的成本,可以减轻对受害者的伤害。

近年来,决策者通过立法并建立了跨部门的努力,直接和全面地解决劫持人质问题。对勒索软件的同等关注必须在各方面发挥作用:增强FBI追踪和追回赎金的能力;面对加密货币和俄罗斯安全港的挑战;确保最脆弱的卫生、能源、粮食、水、交通和应急部门免受攻击。如果不这样做,未来就有可能成为人质。

原文链接:

https://www.lawfareblog.com/ransomware-lessons-nation-held-hostage

 

 

原文来源:网空闲话

“投稿联系方式:010-82992251   sunzhonghao@cert.org.cn”

8条评论